Romper un PDF con contraseña en unos segundos – PZU y su protección ilusoria. NN Investment Partners también repite estas malas prácticas.

por | |

La ilusión de seguridad es peor que la conciencia de su falta, porque conduce a decisiones basadas en premisas erróneas. La información proporcionada por instituciones de confianza pública, como «Protegemos sus datos personales», a menudo crea esta ilusión de seguridad. Estudiemos dos ejemplos de esto utilizando archivos PDF con contraseñas.

  1. Recibí un correo electrónico de PZU con una propuesta de seguro, subrayando «Protegemos sus datos personales»:
pdf con contraseña pzu

2. El archivo adjunto era un PDF protegido con contraseña:

pdf con contraseña

3. Supongamos que no conozco la contraseña. Sin embargo, por el contenido del correo, sé que la contraseña consta de 4 dígitos. Veamos cuánto tiempo toma romperla usando una computadora doméstica moderna.

4. Abriendo el PDF en modo texto, podemos leer el encabezado del archivo (por ejemplo, con el bloc de notas). Esto nos permitirá identificar en qué versión del estándar se creó:

pdf 1.4
Como se puede ver en la secuencia de caracteres – «%PDF-1.4», se utilizó un formato de más de 20 años, el PDF 1.4

5. El siguiente paso es extraer el hash de la contraseña que queremos romper. Para ello, utilizamos la herramienta pdf2john.py.

hash pdf

6. Para romper el hash obtenido, usamos hashcat en modo de fuerza bruta. 10500 indica el modo de romper el hash del formato para archivos PDF versiones 1.4-1.6:

En el archivo hash.txt se encuentra el hash de la contraseña previamente extraído. a3 indica el modo de fuerza bruta con la máscara ?d?d?d?d, donde cada ?d representa cualquier dígito del 0 al 9.
hashcat pdf

Como se puede ver a continuación, romper una contraseña de cuatro dígitos tomó 10 segundos:

pdf hashcat

Por lo tanto, se puede afirmar con certeza que una contraseña de 4 dígitos es un tipo de protección ilusoria y no protege los datos personales.

A continuación, revisemos el PDF «protegido» de NN Investment Partners.

  1. Aquí se protegió con una cadena de caracteres un poco más larga — el número PESEL.
nn investment partners pdf

2. El encabezado del archivo adjunto – «%PDF-1.2» indica que el archivo fue creado utilizando el estándar de 1996:

pdf 1.2

3. El hash de la contraseña extraído también indica lo mismo:

hash pdf

4. Lanzamos la fuerza bruta con hashcat. Fuerza bruta, porque no consideramos ningún otro supuesto que reduciría el número de combinaciones posibles, aparte del hecho de que PESEL es un número compuesto por 11 dígitos:

hashcat pesel
Esta vez, romper la contraseña tomó 64 segundos. Una vez más, demostramos que una contraseña de 11 dígitos no es protección y es un ejemplo de la ilusión de seguridad.
pdf hashcat

¿Qué hacer, cómo vivir?

Para cifrar datos, se deben usar contraseñas largas, de más de 12 caracteres, con un amplio espacio de caracteres, es decir, que contengan letras mayúsculas y minúsculas, números y caracteres especiales. Dicha contraseña debe enviarse al cliente por un segundo canal de comunicación, por ejemplo, un mensaje de texto. Además, las instituciones deben utilizar algoritmos de cifrado fuertes que ralenticen significativamente los intentos de fuerza bruta. Un ejemplo podría ser el uso de un archivo 7zip con el algoritmo AES- 256.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Etiquetado , , , , , , , .Enlace para bookmark : Enlace permanente.

Comparte tu opinión sobre el artículo.